从全球两大黑客年会看攻击趋势
要认识现今黑客功力,每年7月陆续在美国举办的全球两大黑客活动──黑帽大会(Black Hat)与Defcon,就是见识顶尖黑客大显身手的好时刻。今年会议上,黑客们不仅试图入侵现场ATM提款机、无线网络装置,亦探讨网络安全、NAC安全性、后门程序入侵及VoIP与行动装置等安全议题。
鉴识工具不是万能
企业被黑客入侵后,重要的是必须要能够追踪黑客的踪迹,并做好数字证据的保留与鉴识工作,进一步做为法庭的呈堂证供。因此,常用的数字鉴识工具,多是以稳定著称。这一次在黑帽大会上,便有研究单位iSec的研究员宣称,已经针对目前政府部门和警政单位常用的EnCase鉴识工具,进行反鉴识工具的研究。
此次是第三次参加黑帽大会和DefCon的中华电信数据分公司资安办公室技术研发组组长李伦铨,也对这一场技术论坛印象深刻。他进一步指出,iSec其实就是利用鉴识工具本身的软件漏洞,将可能造成鉴识结果失效或错误。「虽然这项研究结果,已经遭到鉴识工具厂商的驳斥,但能够做出这样的心得分享,必须累积长时间的资安研究能量,」李伦诠说,这也是目前台湾包括资安厂商和黑客组织在内,共同面临资安研究人才断层的问题。
找漏洞的套装工具渐齐全
资安问题大致可分成两类,一类是系统内部,例如Rootkit隐藏的问题;另外一种是新弱点、漏洞的发现,可透过逆向工程或Fuzzy手法,找出问题所在。此次黑帽大会上,行政院研考会技术服务中心(简称技服中心)工程师方家庆、陈鸿吉,两人不约而同看到,以往找漏洞的工具,有逐渐变成套装工具的趋势。
专精Rootkit研究的方家庆观察到,「不论是黑帽大会或是DefCon,利用Fuzzy手法找出软件漏洞,在今年看来已经成熟,」已有厂商开发一套架构,将Fuzzy常用组件整合成产品,可针对不同软件找漏洞。
擅长逆向工程的陈鸿吉,在黑帽大会上则观察到,透过逆向工程手法找寻软件漏洞,仍是破解软件的方式,已有厂商开发出,同时整合逆向工程与Fuzzy手法、协助分析的软件工具。这也意味着,这类型软件工具有走向整合性的趋势。
无线网络依然不安全
无线网络的便利造成普及,但相对的,其安全性,依然是最痛。不论是黑帽大会或是DefCon,现场其实都有提供无线网络的服务,由于参加两大黑客会议的成员,多数具有相关技术底子,但对于会场提供无线网络的安全性,依旧充满不信任感。
最明显的例子就是,在DefCon现场展示的「绵羊墙(Wall of Sheep)」。数联资安技术处经理杨伯瀚指出,绵羊墙就是在DefCon会场上,以部分马赛克方式,将监听到的账号、密码投射在这面绵羊墙上。「这也证明,无线网络的确仍有很高的风险性,」杨伯瀚说。
除了绵羊墙外,由黑客组织Chroot自行组队参加DefCon的成员曾信田(NewBug)则指出,此次同行的团员中,便有一名无线网络的真实受骇者。他进一步表示,团员DM一到DefCon现场,刚把CHT 9100手机打开,就遭到现场黑客入侵,系统画面被置换。曾信田笑说,「DefCon现场网络环境的险恶,由此可知。」
NAC可用P2P手法破解
今年DefCon仍很重视Web本身的漏洞,不论是新的SQL Injection(SQL注入攻击)手法,或者是Web软件的新弱点、新的网站检测工具,甚至是利用社交工程手法,进一步做到XSS(跨站脚本)攻击,都是很明显的趋势,其中在会场示范的MySpace攻击,就是最好的例证。其它的,除了VoIP以及行动装置的安全性,各种后门程序植入手法与Vista安全性,也都是关切议题。
不过,许多资安厂商推动相当热烈的NAC(网络存取控管),向来被认为可以有效遏止企业资安环境的恶化,并落实企业资安政策。但杨伯瀚发现,此次有演讲者透过P2P技巧(以TOR为主),躲过防火墙的侦测。他进一步指出,这样的手法,以往常用于中国大陆网友,是一种可以躲避中国官方网络箝制的技巧,一山还有一山高,原本单纯躲避政府侦察的技巧,也成为黑客可用来躲避NAC的新手法。
Google在黑帽大会现场征才
型态较为严肃的黑帽大会,受邀对象或参展厂商,多数较为正式,而软件厂商Google也首度在黑帽大会摆摊位参展。不过,Google参展不是为了推销产品,「是为了在黑帽大会,网罗优秀的资安人才,」李伦铨说道。
Google传单中人才招募需求,其中有一项需求颇耐人寻味,「CISSP not required。Relevant experience must be hands-on!」李伦铨指出,从Google征才的条件发现,「Google要的不是会考试、有证书的人才,实务经验才是王道。」李伦铨说,这也意味着,专业黑客的手法与攻击变形,已经让许多擅长「说明攻击」而非「实作攻击」的嘴炮型黑客,招架不住。
现场领略信息战的威力
DefCon是一个囊括资通安全、实体安全及电子学等泛安全的聚会,像是实体安全上的开锁教学和比赛;或者是设计枪靶,看哪一把由计算机控制的玩具枪、BB弹,射击率最精准等,则运用大量的电子学。
杨伯瀚在现场,第一次感受到「信息战」的威力。此次有一名协助爱沙尼亚共和国做数字鉴识的演讲者,便还原该国遭到俄罗斯黑客攻击的真实状况。波罗的海三小国的爱沙尼亚,1991年从苏联独立出来,是一个信息化程度相当深的国家,网络银行相当普遍,「连买菜,都可以在网络上进行,」杨伯瀚转述说道。但爱沙尼亚与俄罗斯之间,有严重的政治冲突,先前有俄罗斯黑客号召俄国网友,针对爱沙尼亚重要的网络服务与网站等,发动DDoS(分布式阻断式服务)攻击。
爱沙尼亚虽然有国家级的防火墙,但从俄罗斯来的大量DoS攻击,仍瘫痪了爱沙尼亚的国家运作。为了恢复国家运作,爱沙尼亚中断所有从国外到该国的联机,启动国家级第二线备援线路,慢慢恢复基本国家运作机制;同时向欧盟、俄罗斯与美国的CERT求援,并协助进行事后的数字鉴识。杨伯瀚说,「如果台湾遭遇到类似的网络攻击,相关部门,是否有足够能力可以应付呢?」
ATM岌岌可危,WarGame高手云集
不论是黑帽大会或者是DefCon,此次台湾参加的成员,也有观察到一些有趣的场边花絮。技服中心工程师陈鸿吉在黑帽大会上,刚好遇到有一小群黑客,企图针对会场的自动柜员机(ATM)进行攻击,ATM甚至已经出现微软的画面,也出现一些命令列等,只不过,在现场警卫的干预下,这样的攻击手法没有完成。随着有越来越多银行ATM为了提供更多元的服务但,从专属系统陆续改成开放式的Windows-Based 的ATM,「这也让人对于ATM的安全性,捏了一把冷汗。」陈鸿吉说。
DefCon另外的特色就是有WarGame以及各式各样有趣的现场活动。台湾黑客组织Chroot原本有意自行组队参加DefCon,但在会前赛中只取前13名,整体成绩名列第十四名Chroot与比赛机会擦身而过。但曾信田到DefCon现场发现,每一个入围WarGam队伍,所有的设备,包含服务器、网络设备等,都带得非常齐全,「如果Chroot有入围,在缺乏好的工具情况下,可能会被其它参赛队伍打着玩。」他说
(左上)这一面绵羊墙,就是DefCon会场所有被监听到的账号、密码,都被投影在这面墙上
(右上)Chroot黑客组织成员DM,一到DefCon现场,CHT 9100手机一开机,就被现场黑客入侵、画面被置换。
